安全加固的方案原则
- 版本升级
- 关闭端口服务
- 修改配置项
- 修改代码
- 主机和网络ACL(iptables)策略
- 部署设备防护
Linux安全加固的主要方向
- 账号管理与认证授
- 为不同的管理员分配不同的账号
- 检查高权限文件
- 去除不需要的账号、修改默认账号shell环境
- 限制超级管理员远程登录
- 删除root以外UID为0的用户
- 不应该存在位于高权限组的用户
- 缩短默认密码生存周期
- 设置密码强度策略(高强度密码)
- 设置强制密码历史(设置密码时不能跟之前的密码历史相冲突)
- 设置账户锁定策略(防账户猜测,暴力破解)
- 设置关键目录的权限
- 修改umask(反码)值(防止属于该组的其他用户级别组的用户修改该用户的文件)
- /etc/profile
- /etc/csh.login
- /etc/csh.cshrc
- /etc/bashrc
- 在以上文件的末尾添加 umask 027
- 限制硬件资源(限制用户对系统资源的使用,减缓DDOS攻击)
- 对用户使用ls、rm设置别名等等(让ls随时看清文件属性,让rm需要确认后删除目标实施方法)
- 禁止任何人su切换为root账户(减少提权风险),让加入了wheel组的用户才可以切换root账户
- 去掉所有SUID和SGID(防止被利用提权)
- 为开放目录设置粘滞位
- 启用日志记录功能,使用日志服务器
- 重要日志权限不应该高于640
- 设置关键文件底层属性
- chattr +a /var/log/messages
- chattr +i /var/log/messages.*
- chattr +i /etc/shadow
- chattr +i /etc/passwd
- chattr +i /etc/group
- 通讯协议
- 关闭非加密远程管理telnet
- 使用加密的远程连接ssh
- 设置访问控制列表(设置访问控制白名单,减少入侵的风险)
- 固化常用DNS解析(降低DNS被劫持的可能)
- 打开syncookie(当syn溢出时,使用cookie的方式写入文件来调用,来缓解syn flood)
- 不响应ICMP请求(不对ICMP请求做出响应,避免信息泄露,让用户无法ping)
- 禁止处理无源路由(防止中间人ARP抓包)
- 防御syn flood攻击优化(修改半连接上限,缓解syn flood攻击)
- FTP使用黑白名单限制(防止非法账户访问ftp)
- FTP设置上传文件后的默认权限(防止脚本执行)
- FTP设置banner信息(去掉banner信息)
- 配置可信任的NTP(时间)服务器,确保服务开启(保持时间同步,防止某些服务错误)
- 检查账户目录中是否存在高危文件:.netrc、.rhosts(防止被使用远程登录漏洞)
- 补丁装载(不推荐yum update,防止不兼容的软件版本使服务宕机,先进行服务器克隆,然后再进行补丁测试,没有问题再放到生产环境)
- 关闭NFS服务(防止被外挂文件系统,导致入侵)
- 服务进程与启动
- 关闭无用服务(systemctl list-unit-files | grep enabled 命令来查看所有开启的服务)
- banner与自动注销
- 隐藏系统提示信息(避免信息提示泄露系统状态)
- 设置登录超时注销(防止疏忽导致命令行被他人利用)
- 减少history历史数量
- 跳过grup菜单(防止再grup菜单对引导过程进行修改)
- 关闭ctrl+alt+del重启功能(防止误操作重启服务器)
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
